DevSecOps disiplinini günlük operasyonun merkezine koyan bir mühendisim. Production ölçekli Proxmox + Docker altyapılarını yönetiyor; pre-commit'ten runtime'a uzanan savunma katmanlarını, GitOps tabanlı CI/CD hatlarını ve gözlemlenebilirlik stack'ini sahipleniyorum.
İlgi alanım üç başlıkta toplanıyor: güvenli yazılım teslimi (SAST/SCA/SBOM/imzalı imaj), dayanıklı operasyon (SLO, blameless postmortem, runbook hijyeni) ve ofansif zihniyet (kendi sistemini saldırgan gözüyle okumak). Türkçe ve İngilizce çalışırım.
| Odak alanlarım | Supply-chain integrity · platform security · runtime observability |
| Öğreniyorum | eBPF tabanlı runtime security · ileri Active Directory attack chain'leri |
| 2026 hedeflerim | OSCP · observability ve supply-chain alanında OSS katkı · teknik yazı |
| Konuşmak istediklerim | Threat modeling · platform engineering · self-hosted altyapı tasarımı |
Languages
Infrastructure & Platform
Security & Observability
Data
Workflow
Günlük operasyonda yoğun kullandıklarım. Tetiklendiğinde Burp Suite, Wireshark, Metasploit, Kyverno, ArgoCD da setin parçası.
🛡️ cheat-sheet
Offensive security command reference — 2000+ pentest komutu, 33 kategori. OSCP/OSWE/OSEP/CPTS odaklı, full CRUD, instant search, write-ups, Docker ile tek komutta deploy. |
📚 DevOps
Modern DevOps başucu kitabı (TR) — 19 konu, 9 cheatsheet, 25+ template. Kubernetes · Terraform · GitOps · SRE · DevSecOps · FinOps · LLMOps kapsamı. |
🛰️ api-sentinel
3rd-party API schema değişikliği tespiti — plugin tabanlı, severity-aware monitoring. FastAPI + APScheduler + deepdiff. Auth, alert kanalı ve storage runtime plugin'i olarak takılıyor. |
Tek |
|
Wakapi self-hosted stack + custom admin paneli — realtime active users, domain tag system, AI editor detection (Cursor/Copilot/Claude Code), team leaderboard. |
AES-256 CBC + PBKDF2 (100k iteration) ile dosya/klasör şifreleme — terminalden tek komut, per-file rastgele salt/IV, Türkçe CLI. |
Tüm projeler için → repositories
Hız, güvenlik ve kalite birbirinin rakibi değil — eksik olan, üçünü birden taşıyacak süreçtir.
Yıllar içinde — başarısız deploy'lardan, gece 3'te düşen üretimden, çözmek zorunda kaldığım production incident'lerinden — bende netleşen birkaç prensip var:
Operasyonel kontrolün dışarıya verildiği her yerde hem güvenlik yüzeyi büyür hem sahiplik silikleşir. Wakapi, Sentry, Vault, MinIO, mail gateway — kullandığım stack'in büyük bölümünü kendim ayağa kaldırmayı tercih ediyorum. Bu ek yük değil; bilinçli bir konum.
Mevcut çözümler "yetinilebilir" olur ama ekibi gerçekten hızlandıranlar genelde özel yazılmış olanlar. Wakapi'nin üstüne kendi admin paneli, monitoring boşlukları için kendi enrichment pipeline'ı, generic SaaS'ın bıraktığı yerleri kapatan custom dashboard'lar — boşluk gördüğümde alet yazarım.
Kendi sistemini ofansif zihniyetle okumadan gerçek anlamda "secure" olamazsın. BloodHound çıktıları, kendi lab'imdeki AD attack chain'leri, OSCP yolu — defansif kararlarımın temelinde bu lens var. DevSecOps'un "Sec" kısmını ciddiye almak demek bu.
Çözülen her production sorunu kayda geçmezse ders kaybolur, ekip aynı tuzağa altı ay sonra tekrar düşer. Postmortem hijyeni, kod hijyeni kadar değerlidir — runbook'lar büyür, onboarding süresi düşer, bus factor 1'in üstüne çıkar.
Production ortamında "akademik olarak doğru olan" değil, "bu hafta deploy edilebilir olan" kazanır. Mükemmel mimariyi beklerken kullanıcılar düşmez; iterasyon her zaman mükemmeliyetten hızlı öğretir.
